Asosiasi penjadwalan Membuat asosiasi (konsol)Membuat asosiasi (baris perintah)

Membuat asosiasi

State Manager, kemampuan AWS Systems Manager, membantu Anda menjaga AWS sumber daya Anda dalam keadaan yang Anda tentukan dan mengurangi penyimpangan konfigurasi. Untuk melakukannya, State Manager menggunakan asosiasi. Asosiasi adalah konfigurasi yang Anda tetapkan ke AWS sumber daya Anda. Konfigurasi mendefinisikan status yang ingin Anda pertahankan pada sumber daya Anda. Sebagai contoh, suatu asosiasi dapat menentukan bahwa perangkat lunak antivirus harus diinstal dan berjalan pada node yang dikelola, atau port tertentu harus ditutup.

Asosiasi menentukan jadwal kapan harus menerapkan konfigurasi dan target asosiasi. Misalnya, asosiasi untuk perangkat lunak antivirus mungkin berjalan sekali sehari pada semua node yang dikelola dalam file Akun AWS. Jika perangkat lunak tidak diinstal pada node, maka asosiasi dapat menginstruksikan State Manager untuk menginstalnya. Jika perangkat lunak diinstal, tetapi layanan tidak berjalan, maka asosiasi dapat menginstruksikan State Manager untuk memulai layanan.

Awas

Saat membuat asosiasi, Anda dapat memilih grup AWS sumber daya dari node terkelola sebagai target untuk asosiasi. Jika pengguna, grup, atau peran AWS Identity and Access Management (IAM) memiliki izin untuk membuat asosiasi yang menargetkan grup sumber daya dari node yang dikelola, maka pengguna, grup, atau peran tersebut secara otomatis memiliki kontrol tingkat akar dari semua node dalam grup. Izin hanya administrator tepercaya untuk membuat asosiasi.

Target asosiasi dan kontrol rate

Asosiasi menentukan node terkelola, atau target, yang harus menerima asosiasi. State Manager menyertakan beberapa fitur untuk membantu Anda menargetkan node terkelola dan mengontrol bagaimana asosiasi diterapkan ke target tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

Asosiasi penandaan

Anda dapat menetapkan tag untuk asosiasi ketika Anda membuatnya dengan menggunakan alat baris perintah seperti AWS CLI atau AWS Tools for PowerShell. Menambahkan tag ke asosiasi dengan menggunakan konsol Systems Manager tidak didukung.

Menjalankan asosiasi

Secara default, State Manager menjalankan asosiasi segera setelah Anda membuatnya, dan kemudian sesuai dengan jadwal yang telah Anda tentukan.

Sistem juga menjalankan asosiasi sesuai dengan aturan berikut:

State Manager mencoba untuk menjalankan asosiasi pada semua node tertentu atau node yang ditargetkan selama interval.
Jika asosiasi tidak berjalan selama interval (karena, misalnya, nilai konkurensi terbatas jumlah node yang dapat memproses asosiasi pada satu waktu), maka State Manager mencoba untuk menjalankan asosiasi selama interval berikutnya.
State Manager menjalankan asosiasi setelah perubahan pada konfigurasi asosiasi, node target, dokumen, atau parameter. Untuk informasi selengkapnya, silakan lihat Memahami kapan asosiasi diterapkan pada sumber daya
State Manager mencatat sejarah untuk semua interval yang dilewati. Anda dapat melihat riwayat di tab Riwayat Eksekusi.

Asosiasi penjadwalan

Anda dapat menjadwalkan asosiasi untuk dijalankan pada interval dasar seperti setiap 10 jam, atau Anda dapat membuat jadwal yang lebih maju menggunakan ekspresi cron dan rate kustom. Anda juga dapat mencegah asosiasi berjalan saat pertama kali membuatnya.

Menggunakan ekspresi cron dan rate untuk menjadwalkan asosiasi berjalan

Selain ekspresi cron dan rate standar, State Manager juga mendukung ekspresi cron yang mencakup hari dalam seminggu dan tanda angka (#) untuk menunjuk hari ke-n dalam sebulan untuk menjalankan asosiasi. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa ketiga setiap bulan pukul 23:30: UTC

cron(30 23 ? * TUE#3 *)

Berikut adalah contoh yang berjalan pada hari Kamis kedua setiap bulan pada tengah malamUTC:

cron(0 0 ? * THU#2 *)

State Manager juga mendukung tanda (L) untuk menunjukkan hari X terakhir setiap bulan. Berikut adalah contoh yang menjalankan jadwal cron pada hari Selasa terakhir setiap bulan pada tengah UTC malam:

cron(0 0 ? * 3L *)

Untuk mengontrol lebih lanjut saat asosiasi berjalan, misalnya jika Anda ingin menjalankan asosiasi dua hari setelah patch Selasa, Anda dapat menentukan offset. Offset mendefinisikan berapa hari untuk menunggu setelah hari yang dijadwalkan untuk menjalankan asosiasi. Misalnya, jika Anda menentukan jadwal croncron(0 0 ? * THU#2 *), Anda dapat menentukan angka 3 di bidang Offset Jadwal untuk menjalankan asosiasi setiap hari Minggu setelah Kamis kedua setiap bulan.

catatan

Untuk menggunakan offset, Anda harus memilih Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya di konsol atau tentukan ApplyOnlyAtCronInterval parameter dari baris perintah. Ketika salah satu dari opsi ini diaktifkan, State Manager tidak menjalankan asosiasi segera setelah Anda membuatnya.

Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat Referensi: Ekspresi cron dan rate untuk Systems Manager.

Membuat asosiasi (konsol)

Prosedur berikut menjelaskan cara menggunakan konsol Systems Manager untuk membuat konsol State Manager asosiasi.

penting

Prosedur ini menjelaskan cara membuat asosiasi yang menggunakan dokumen Command atau Policy dokumen untuk menargetkan node terkelola. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomatisasi untuk menargetkan node atau jenis AWS resource lainnya, lihatMenjadwalkan otomatisasi dengan asosiasi State Manager.

Untuk membuat State Manager asosiasi

Buka AWS Systems Manager konsol di https://console.aws.amazon.com/systems-manager/.
Di panel navigasi, pilih State Manager.
Pilih Buat asosiasi.
Di bidang Nama, tentukan nama.
Di daftar Dokumen, pilih opsi di samping nama dokumen. Perhatikan tipe dokumen. Prosedur ini berlaku untuk dokumen Command dan Policy. Untuk informasi tentang membuat asosiasi yang menggunakan runbook Otomatisasi, lihat Menjadwalkan otomatisasi dengan asosiasi State Manager.

penting
State Manager tidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan default versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen kedefault.
Untuk Parameter, tentukan parameter input yang diperlukan.
(Opsional) Pilih CloudWatch alarm untuk diterapkan ke asosiasi Anda untuk pemantauan.
catatan
Perhatikan informasi berikut tentang langkah ini.
- Daftar alarm menampilkan maksimal 100 alarm. Jika Anda tidak melihat alarm dalam daftar, gunakan tombol AWS Command Line Interface untuk membuat asosiasi. Untuk informasi selengkapnya, lihat Membuat asosiasi (baris perintah).
- Untuk melampirkan CloudWatch alarm ke perintah Anda, kepala IAM sekolah yang membuat asosiasi harus memiliki izin untuk iam:createServiceLinkedRole tindakan tersebut. Untuk informasi selengkapnya tentang CloudWatch alarm, lihat Menggunakan CloudWatch alarm Amazon.
- Jika alarm Anda aktif, pemanggilan atau otomatisasi perintah yang tertunda tidak berjalan.
Untuk Target, pilih satu opsi. Untuk informasi tentang menggunakan target, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

catatan
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat Tentang pembaruan target dengan runbook Otomasi.
Di bagian Tentukan jadwal, pilih Sesuai Jadwal atau Tidak ada jadwal. Jika Anda memilih Sesuai Jadwal, gunakan tombol yang disediakan untuk membuat cron atau jadwal rate untuk asosiasi.

Jika Anda tidak ingin asosiasi segera berjalan setelah Anda membuatnya, pilih Terapkan asosiasi hanya pada interval Cron yang ditentukan berikutnya.
(Opsional) Di bidang Offset jadwal, tentukan angka antara 1 dan 6.
Di bagian Opsi lanjutan gunakan Keparahan Kepatuhan untuk memilih tingkat keparahan untuk asosiasi dan gunakan Ubah Kalender untuk memilih perubahan kalender untuk asosiasi.

Pelaporan kepatuhan menunjukkan apakah status asosiasi sesuai atau tidak, bersama dengan tingkat keparahan yang Anda tunjukkan di sini. Untuk informasi selengkapnya, lihat Tentang State Manager kepatuhan asosiasi.

Kalender perubahan menentukan kapan asosiasi berjalan. Jika kalender ditutup, asosiasi tidak akan diterapkan. Jika kalendar dibuka, asosiasi berjalan dengan sesuai. Untuk informasi selengkapnya, lihat AWS Systems Manager Change Calendar.
Di bagian Pengendalian rate, pilih opsi untuk mengontrol bagaimana asosiasi berjalan pada beberapa node. Untuk informasi lebih lanjut tentang menggunakan kontrol rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

Di bagian Konkurensi, pilih satu opsi:
- Pilih target untuk memasukkan jumlah absolut dari target yang dapat menjalankan asosiasi secara bersamaan.
- Pilih persentase untuk memasukkan persentase dari kumpulan target yang dapat menjalankan asosiasi secara bersamaan.
Di bagian Batas kesalahan, pilih opsi:
- Pilih kesalahan untuk memasukkan jumlah absolut kesalahan yang diizinkan sebelumnya State Manager berhenti menjalankan asosiasi pada target tambahan.
- Pilih persentase untuk memasukkan persentase kesalahan yang diizinkan sebelumnya State Manager berhenti menjalankan asosiasi pada target tambahan.
(Opsional) Untuk Opsi output, untuk menyimpan output perintah ke file, pilih kotak Aktifkan output penulisan ke S3. Masukkan nama bucket dan prefiks (folder) di dalam kotak.

catatan
Izin S3 yang memberikan kemampuan untuk menulis data ke bucket S3 adalah dari profil instans yang ditetapkan ke node yang dikelola, bukan data IAM pengguna yang melaksanakan tugas ini. Untuk informasi selengkapnya, lihat Mengonfigurasi izin instans yang diperlukan untuk Systems Manager atau Membuat peran IAM layanan untuk lingkungan hibrid. Selain itu, jika bucket S3 yang ditentukan berada di yang berbeda Akun AWS, verifikasi bahwa profil instans atau peran IAM layanan yang terkait dengan node yang dikelola memiliki izin yang diperlukan untuk menulis ke bucket tersebut.

Berikut ini adalah izin minimal yang diperlukan untuk mengaktifkan output Amazon S3 untuk asosiasi. Anda dapat membatasi akses lebih lanjut dengan melampirkan IAM kebijakan untuk pengguna atau peran dalam akun. Minimal, profil EC2 instans Amazon harus IAM memiliki kebijakan yang AmazonSSMManagedInstanceCore dikelola dan kebijakan yang sejalan berikut.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
        }
    ]
}
```
Untuk izin minimal, bucket Amazon S3 yang Anda ekspor harus memiliki pengaturan default yang ditentukan oleh konsol Amazon S3. Untuk informasi selengkapnya tentang pembuatan bucket Amazon S3, lihat Membuat bucket dalam Panduan Pengguna Amazon S3.

catatan
APIoperasi yang diprakarsai oleh SSM dokumen selama menjalankan asosiasi tidak masuk AWS CloudTrail.
Pilih Buat Asosiasi.

catatan

Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut.

Membuat asosiasi (baris perintah)

Prosedur berikut menjelaskan cara menggunakan AWS CLI (di Linux atau Windows) atau Tools for for PowerShell create a State Manager asosiasi. Bagian ini mencakup beberapa contoh yang menunjukkan bagaimana menggunakan target dan kontrol rate. Pengendalian target dan rate memungkinkan Anda untuk menetapkan asosiasi untuk puluhan atau ratusan node sementara mengendalikan eksekusi asosiasi tersebut. Untuk informasi selengkapnya tentang pengendalian target dan rate, lihat Memahami target dan kontrol tingkat di State Manager asosiasi.

penting

Sebelum Anda mulai

targetsParameter adalah larik kriteria pencarian yang menargetkan node menggunakanKey, Value kombinasi yang Anda tentukan. Jika Anda berencana untuk membuat asosiasi pada puluhan atau ratusan node dengan menggunakan targets parameter, tinjau opsi penargetan berikut sebelum memulai prosedur.

Targetkan node tertentu dengan menentukan IDs


--targets Key=InstanceIds,Values=instance-id-1,instance-id-2,instance-id-3


--targets Key=InstanceIds,Values=i-02573cafcfEXAMPLE,i-0471e04240EXAMPLE,i-07782c72faEXAMPLE

Menargetkan instans dengan menggunakan tag


--targets Key=tag:tag-key,Values=tag-value-1,tag-value-2,tag-value-3


--targets Key=tag:Environment,Values=Development,Test,Pre-production

Target node dengan menggunakan AWS Resource Groups


--targets Key=resource-groups:Name,Values=resource-group-name


--targets Key=resource-groups:Name,Values=WindowsInstancesGroup

Menargetkan semua instans terbaru Akun AWS dan Wilayah AWS


--targets Key=InstanceIds,Values=*

catatan

Perhatikan informasi berikut.

State Manager tidak mendukung asosiasi berjalan yang menggunakan versi baru dokumen jika dokumen tersebut dibagikan dari akun lain. State Manager selalu menjalankan default versi dokumen jika dibagikan dari akun lain, meskipun konsol Systems Manager menunjukkan bahwa versi baru telah diproses. Jika Anda ingin menjalankan asosiasi menggunakan versi baru dokumen yang dibagikan dari akun lain, Anda harus menyetel versi dokumen kedefault.
Anda dapat menentukan maksimal lima kunci tag dengan menggunakan AWS CLI. Jika Anda menggunakan AWS CLI, semua kunci tag yang ditentukan dalam create-association perintah harus saat ini ditetapkan ke node. Jika mereka tidak, State Manager gagal menargetkan node untuk asosiasi.
Saat Anda membuat asosiasi, Anda menentukan kapan jadwal berjalan. Tentukan jadwal dengan menggunakan ekspresi cron atau rate. Untuk informasi selengkapnya tentang ekspresi cron dan rate, lihat Ekspresi cron dan rate untuk associate.
Agar asosiasi yang dibuat dengan runbook Otomasi diterapkan ketika node target baru terdeteksi, kondisi tertentu harus dipenuhi. Untuk informasi, lihat Tentang pembaruan target dengan runbook Otomasi.

Untuk membuat asosiasi

Instal dan konfigurasikan AWS CLI atau AWS Tools for PowerShell, jika Anda belum melakukannya.

Untuk selengkapnya, lihat Menginstal atau memperbarui versi terbaru AWS CLI dan Menginstal AWS Tools for PowerShell.

Gunakan format berikut untuk membuat perintah yang menciptakan State Manager asosiasi. Ganti masing-masing example resource placeholder dengan informasi Anda sendiri.

Linux & macOS


aws ssm create-association \
    --name document_name \
    --document-version version_of_document_applied \
    --instance-id instances_to_apply_association_on \
    --parameters (if any) \
    --targets target_options \
    --schedule-expression "cron_or_rate_expression" \
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets \
    --schedule-offset number_between_1_and_6 \
    --output-location s3_bucket_to_store_output_details \
    --association-name association_name \
    --max-errors a_number_of_errors_or_a_percentage_of_target_set \
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set \
    --compliance-severity severity_level \
    --calendar-names change_calendar_names \
    --target-locations aws_region_or_account \
    --tags "Key=tag_key,Value=tag_value"

Windows


aws ssm create-association ^
    --name document_name ^
    --document-version version_of_document_applied ^
    --instance-id instances_to_apply_association_on ^
    --parameters (if any) ^
    --targets target_options ^
    --schedule-expression "cron_or_rate_expression" ^
    --apply-only-at-cron-interval required_parameter_for_schedule_offsets ^
    --schedule-offset number_between_1_and_6 ^
    --output-location s3_bucket_to_store_output_details ^
    --association-name association_name ^
    --max-errors a_number_of_errors_or_a_percentage_of_target_set ^
    --max-concurrency a_number_of_instances_or_a_percentage_of_target_set ^
    --compliance-severity severity_level ^
    --calendar-names change_calendar_names ^
    --target-locations aws_region_or_account ^
    --tags "Key=tag_key,Value=tag_value"

PowerShell


New-SSMAssociation `
    -Name document_name `
    -DocumentVersion version_of_document_applied `
    -InstanceId instances_to_apply_association_on `
    -Parameters (if any) `
    -Target target_options `
    -ScheduleExpression "cron_or_rate_expression" `
    -ApplyOnlyAtCronInterval required_parameter_for_schedule_offsets `
    -ScheduleOffSet number_between_1_and_6 `
    -OutputLocation s3_bucket_to_store_output_details `
    -AssociationName association_name `
    -MaxError  a_number_of_errors_or_a_percentage_of_target_set
    -MaxConcurrency a_number_of_instances_or_a_percentage_of_target_set `
    -ComplianceSeverity severity_level `
    -CalendarNames change_calendar_names `
    -TargetLocations aws_region_or_account `
    -Tags "Key=tag_key,Value=tag_value"

Contoh berikut membuat asosiasi pada node ditandai dengan"Environment,Linux". Asosiasi menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada pukul 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium.

Contoh berikut menargetkan node IDs dengan menentukan nilai wildcard (*). Hal ini memungkinkan Systems Manager untuk membuat sebuah asosiasi pada semua node dalam Akun AWS dan saat ini Wilayah AWS. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini menggunakan offset jadwal, yang berarti berjalan dua hari setelah jadwal cron yang ditentukan. Ini juga mencakup ApplyOnlyAtCronInterval parameter, yang diperlukan untuk menggunakan offset jadwal dan yang berarti asosiasi tidak akan berjalan segera setelah dibuat.

Contoh berikut membuat asosiasi pada node di Resource Groups. Grup ini diberi nama "HR-Department". Asosiasi menggunakan AWS-UpdateSSMAgent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada pukul 2:00 UTC setiap Minggu pagi. Asosiasi ini berjalan secara bersamaan pada 10 node maksimum pada waktu tertentu. Juga, asosiasi ini berhenti berjalan pada lebih banyak node untuk interval eksekusi tertentu jika jumlah kesalahan melebihi 5. Untuk pelaporan kepatuhan, asosiasi ini ditetapkan tingkat keparahan Medium. Asosiasi ini berjalan pada jadwal cron yang ditentukan. Ini tidak segera berjalan setelah asosiasi dibuat.

Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan sekali ketika kalender perubahan terbuka. Asosiasi memeriksa status kalender saat dijalankan. Jika kalender ditutup pada waktu peluncuran dan asosiasi hanya dijalankan sekali, asosiasi tidak akan berjalan lagi karena jendela berjalan asosiasi telah berlalu. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.

catatan

Jika Anda menambahkan node baru ke tag atau grup sumber daya tempat asosiasi bertindak saat kalender perubahan ditutup, asosiasi diterapkan ke node tersebut setelah kalender perubahan terbuka.

Contoh berikut membuat asosiasi yang berjalan pada node ditandai dengan ID node tertentu. Asosiasi menggunakan SSM Agent dokumen untuk memperbarui SSM Agent pada node yang ditargetkan pada node yang ditargetkan pada pukul 2:00 pagi setiap hari Minggu. Asosiasi ini berjalan hanya pada jadwal cron yang ditentukan ketika kalender perubahan terbuka. Ketika asosiasi dibuat, asosisasi memeriksa status kalender. Jika kalender ditutup, asosiasi tidak akan diterapkan. Ketika interval untuk menerapkan asosiasi dimulai pada 2:00 AM pada hari Minggu, asosiasi memeriksa untuk melihat apakah kalender terbuka. Jika kalendar dibuka, asosiasi berjalan dengan sesuai.

catatan

Jika Anda menambahkan node baru ke tag atau grup sumber daya tempat asosiasi bertindak saat kalender perubahan ditutup, asosiasi diterapkan ke node tersebut setelah kalender perubahan terbuka.

catatan

Jika Anda menghapus asosiasi yang Anda buat, asosiasi tidak lagi berjalan pada setiap target dari asosiasi tersebut. Juga, jika Anda menentukan parameter apply-only-at-cron-interval, Anda dapat mengatur ulang opsi ini. Untuk melakukannya, tentukan parameter no-apply-only-at-cron-interval saat Anda memperbarui asosiasi dari baris perintah. Parameter ini memaksa asosiasi untuk segera berjalan setelah memperbarui asosiasi dan sesuai dengan interval yang ditentukan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memahami target dan kontrol tingkat

Mengedit asosiasi